Google開源ClusterFuzzLite專案,這是一個連續模糊測試解決方案,能夠整合在CI/CD工作流程中,協助開發團隊更快地發現漏洞。Google強調ClusterFuzzLite方便使用,僅需要幾行程式碼,GitHub用戶就能夠將ClusterFuzzLite整合到工作流程中,對拉取請求進行模糊測試,在提交之前發現錯誤,進而強化軟體供應鏈整體安全性。

Google提到,持續模糊測試現在已經成為軟體開發生命周期中重要的一部分,藉由將未預期或是隨機的資料輸入到程式,以探索在人工檢查時,被遺漏掉的錯誤,並且覆蓋需要非常多人力才能顧及的範圍。另外,由美國國家標準暨技術研究院NIST所發布的軟體驗證指南,最近回應白宮改進網路安全的執行命令,也將模糊測試列為程式碼驗證最低標準。

Google持續耕耘模糊測試的開源工具,之前所發布的開源軟體專用的模糊測試專案OSS-Fuzz,已經被超過500個重要開源專案採用,修復超過6,500項漏洞,和21,000個功能錯誤。ClusterFuzzLite現在加入OSS-Fuzz的行列,協助開發人員除錯。

systemd和curl等重要的大型專案,已經在其程式碼審查程序中,使用ClusterFuzzLite,curl的作者Daniel Stenberg甚至提到,在人類審查員檢查過後,靜態程式碼分析工具和linter也都找不出任何問題時,模糊測試還能夠再次強化程式碼的成熟度和強健度。curl現在採用OSS-Fuzz和ClusterFuzzLite,以維持專案每次提交的程式碼品質。

任何專案都可以採用ClusterFuzzLite,並且整合基本的測試標準,並且從模糊測試中獲益,ClusterFuzzLite具有許多與ClusterFuzz相同功能,像是連續模糊測試、支援Sanitizer和覆蓋率報告等,Google強調,最重要的是,ClusterFuzzLite容易配置並且可用於閉源軟體。

Google希望模糊測試不再是一個額外測試的存在,而是真的能進入到日常開發流程中,成為每個軟體專案的必經步驟,防止錯誤進到程式碼庫,有助於建構更安全的軟體生態系。

熱門新聞

Advertisement